이런 걸 배울 거예요

IDS 로그 분석 훈련

상용 보안 제품에서 탐지된 공격 행위 로그 분석 실습

웹 로그 분석 훈련

웹 서버를 대상으로 이뤄졌던 공격 기법과 공격 로그 분석 실습

네트워크 패킷 분석 훈련

캡처한 패킷을 분석하여 공격 대상과 피해 범위 분석 실습

엘라스틱서치(Elasticsearch) M/L 이용한 Anomaly Detection

분석 자동화를 위한 머신러닝 활용 방법을 실습

클래스 소개

안녕하세요, 빅루트시큐리티 송대근 입니다.

안랩(AhnLab) CERT팀에서 민간 기업과 공공 기관에서 발생한 다양한 해킹 사고 조사 업무를 담당했습니다. 한국 IBM 에서 SOC 구축 프로젝트와 운영 프로젝트 PM을 담당했습니다.

해킹 사고의 원인은 다양한 이유로 발생합니다. 웹 서버의 취약한 설정을 이용해서 중요한 정보를 가로채거나 고객 정보를 유출합니다. 또한 기업의 비즈니스를 중단 시킬 목적으로 IT 서비스를 마비시키는 서비스 공격까지 유형과 목적이 매우 다양합니다.

해킹 사고를 대응하는 기업의 보안 전문가는 해킹 사고를 빠르게 복구해야 합니다. 다양한 해킹 공격 유형 중 공격에 사용된 해킹 기법을 식별하고, 피해 분석 후 복구 방안을 수립해야 합니다.

이번 클래스에서는 보안 전문가가 사이버 보안 사고와 관련된 사고 원인을 분석하기 위해 필요한 핵심 역량이 무엇이고, 공격 유형에 따라 어떤 피해가 발생하는지 실전 사례를 통해 실습과 함께 알려 드립니다.

수강 효과

정상 로그와 해킹 사고 로그를 구분하는 방법을 배울 수 있습니다.
SQL Injection 코드 취약점 설명 및 수정 방법에 대해서 배울 수 있습니다.
엘라스틱서치(Elasticsearch) 머신러닝(M/L) 기능을 이용한 Anomaly Detection 방법을 배울 수 있습니다.
PHP 코드 인젝션 애플리케이션 취약점 공격 분석 사례를 배울 수 있습니다.
패킷 구조에 대한 이해와 패킷 데이터를 이용한 IPS 패턴 매칭 기법을 배울 수 있습니다.
자주 발생하는 해킹 사고에 대해 실습을 통해 실전 사례를 배울 수 있습니다.

수강 전 참고 사항

클래스에서 사용하는 와이어샤크(Wireshark) 설치를 직접 진행해야 합니다.
클래스에서 사용하는 엘라스틱서치(Elasticsearch) 설치 파일은 엘라스틱 웹 사이트에서 직접 다운받아 설치해야 합니다.
클래스에서 사용하는 로그파서(LogParser) 설치 파일은 MS 웹 사이트에서 직접 다운받아 설치해야 합니다.
클래스에서 사용하는 스플렁크(Splunk) 제품은 유료 도구 입니다. 스플렁크 공식 웹 사이트에서 무료 버전을 사용할 수 있습니다.
실습에 사용되는 샘플 로그는 실습 목적으로만 사용하고 재배포나 무단 전재를 제한 합니다.

이 클래스가 특별한 이유

❶ 해킹 기법에 종속되지 않는 분석 방법을 알려 드립니다.

해킹 사고 원인은 다양한 공격에 의해 발생합니다. 해킹 사고 분석을 하기 위해서 모든 공격 유형을 숙지할 필요는 없습니다. 정상 로그와 공격 로그를 구분하는 핵심 정보를 이해하면 다양한 로그 분석에 활용할 수 있습니다.

핵심이 되는 이벤트를 분석하는 노하우를 설명하고, 실습을 통해서 직접 학습할 수 있습니다. 특히, 보안 분석 업무를 수행하다 보면 다양한 로그와 분석 툴을 사용하게 됩니다. 침입탐지시스템 로그 분석, 웹 서버 로그, 네트워크 패킷 분석 업무를 하고 싶어하는 분을 위해 위협 분석 기초 개념과 실무 기술을 설명하고자 합니다. 기본 개념 및 기술과 실전 사례를 통해 습득한 노하우도 함께 설명함으로써 여러분의 역량을 향상시킬 수 있도록 도움이 되고자 합니다.

사고 분석을 위해 분석하는 정보는 대표적으로 웹로그, IDS/IPS 로그, 네트워크 패킷 로그가 있습니다. 실제 보안 사고가 발생했던 시스템의 로그를 분석하면서 사고 대응 훈련을 수행할 예정입니다.

Screenshot 2023-01-22 at 1.30.22 PM.png

Screenshot 2023-08-10 at 5.43.57 PM.png

❷ OWASP Top 10 - SQL Injection 공격 분석

상용 보안 제품에서 탐지된 공격 행위 로그 일부를 필터하여 실습을 위해 제공합니다. 공격 이벤트명, 공격 시간, 기타 정보는 실제 사고 사례와 동일하게 구성되어 있습니다.

웹 로그 분석 실습은 실제 공격 대상 서버에 남은 로그를 실습 목적에 맞게 수정하여 여러분이 직접 분석합니다. 분석을 통해 웹 서버의 취약한 설정을 파악하고 사고 원인을 식별합니다.

Screenshot 2023-08-10 at 5.52.13 PM.png

Screenshot 2023-08-10 at 5.47.43 PM.png

❸ 실전 사례를 통해 배우는 웹 로그 분석

웹 로그 분석 실습을 합니다. 웹 서버를 대상으로 이뤄졌던 공격 기법과 공격 대상 서버에 남은 로그를 직접 분석합니다. 분석을 통해 웹 서버의 취약한 설정을 파악하고 사고 원인을 식별합니다.

Screenshot 2023-03-21 at 11.17.17 AM.png

Screenshot 2023-07-23 at 12.38.12 PM.png

❹ 패킷 구조에 대한 이해와 패킷 데이터를 이용한 IPS 패턴 매칭 기법

해킹 사고 분석 시 네트워크 패킷 분석은 필수 역량입니다. 여러분은 클래스를 통해 실전 사례를 실습 할 수 있습니다. 실제 해킹 사고 사례를 랩 환경에서 동일한 조건으로 재현하였고, 공격자의 시각에서 웹 해킹이 이뤄지는 과정을 데모로 학습합니다.

시스템을 공격하는 과정을 캡처한 네트워크 패킷을 사고 대응 전문가의 관점에서 분석합니다.

Screenshot 2023-08-10 at 5.58.19 PM.png

Screenshot 2023-08-10 at 5.58.58 PM.png

커리큘럼

크리에이터

BIGROOT SECURITY

민간기업과 공공기관의 보안 침해 사고 분석&대응 업무를 수행했고, 3.20 사이버 공격과 커뮤니티 포털, 온라인 쇼핑몰 침해 사고 조사 등 다양한 유형을 보안 사고 대응을 수행했습니다.

글로벌 보안 기업 IBM과 시스코(Cisco) 보안 사업부에서 기술 업무를 담당하면서 기업 고객을 대상으로 보안 프로젝트를 수행하였습니다. 다양한 보안 이슈 대응 경험과 프로젝트 구축/운영 경험을 바탕으로 기업의 보안 담당자에게 필요한 지식과 역량을 공유합니다.

주요 경력사항

보안 컨설턴트: 보안 인프라 컨설팅을 통해 보안 강화 전략 설계/구축/운영
보안 관제 컨설팅: SOC 구축 컨설팅 및 운영 업무 수행
보안서비스상품개발: 차세대 보안 관제 솔루션 & 서비스 개발
침해 사고 대응: 군/공공/민간 기업 등 다수
2014 KISA K-Shield 보안 수료 강사 (안랩 네트워크 포렌식 교육 담당 강사)
2016 개인정보보호 PIS(Personal Information Security) FAIR / 발표 주제 ‘Security Intelligence’

gregsong1918